azure - 将私有 Azure Docker Registry 的 Pull-Only 权限授予第三方的最安全方法
问题描述
我们在 Azure 帐户下创建了一个私有注册表,现在尝试将这些图像临时提供给许多第三方(1 个月或 1 年)。
在不暴露任何其他信息的情况下仅授予第三方 AcrPull 权利的安全方式是什么?我们正在尝试具有 AcrPull 权限的服务主体,但它们似乎内置了多个角色。我想确认持有这些帐户的人除了注册表中的图像外,无权访问我们的任何公司数据。
有没有更好的方法来实现这一点?
解决方案
在该注册表范围内仅授予具有服务主体的AcrPull权限是安全的,因为Microsoft.ContainerRegistry/registries/pull/read
在内置 Azure角色 AcrPull中只有一个操作。如果您不为该服务主体分配任何其他多个角色,则不会内置多个角色。
你还可以创建对 Azure 容器注册表具有精细权限的自定义角色。然后将自定义角色分配给需要与注册表交互的用户、服务主体或其他身份。
有关详细信息,请阅读Azure 容器注册表角色和权限。
推荐阅读
- php - 检查变量的最佳实践
- mysql - 我需要以当前日期结束我的案例陈述
- heap - 为什么优先队列更喜欢使用堆而不是数组来实现,尽管堆本身是使用数组实现的
- php - PHP Selenium 被 CORS 策略阻止
- java - Checkstyle - 在 switch 语句中返回计数
- javascript - 滚动到新消息底部
- android - 如何从 asyncTask 本身内部杀死 AsyncTask?
- mysql - MySQL 从关系表中选择他们有相同的亲戚
- javascript - 隐藏div香草javascript的动态方法
- javascript - 带有引导程序 ui-datepicker 的 Angularjs